**Progress Software**は、エンタープライズ環境で一般的に使用されているマネージドファイル転送（MFT）ソリューションである**MOVEit Automation**の2件のセキュリティ脆弱性に対応しました。 ### 脆弱性の詳細 脆弱性は以下の通りです。 * **CVE-2026-4670** (CVSSスコア: 9.8): 認証バイパスの脆弱性。 * **CVE-2026-5174** (CVSSスコア: 7.7): 権限昇格を許可する可能性のある不適切な入力検証の脆弱性。 **Progress Software**のアドバイザリによると、これらの脆弱性は「サービスバックエンドコマンドポートインターフェイスを介した認証バイパスと権限昇格を許可する可能性があり」、結果として「不正アクセス、管理者権限の奪取、およびデータ漏洩」につながる可能性があります。 ### 影響を受けるバージョン 以下のバージョンが影響を受けます。アップグレードが必要です。 * MOVEit Automation <= 2025.1.4 (MOVEit Automation 2025.1.5で修正) * MOVEit Automation <= 2025.0.8 (MOVEit Automation 2025.0.9で修正) * MOVEit Automation <= 2024.1.7 (MOVEit Automation 2024.1.8で修正) ### 発見と緩和策 **Airbus SecLab**の研究者であるAnaïs Gantet氏、Delphine Gourdou氏、Quentin Liddell氏、Matteo Ricordeau氏が、これらの脆弱性の発見と報告に貢献しました。 提供されたパッチの適用以外に、既知の回避策はありません。**MOVEit Transfer**の脆弱性がCl0pのようなランサムウェアグループによって悪用された過去の事例を考慮すると、直ちにパッチを適用することが強く推奨されます。